[資安小常識] 小心！瀏覽Facebook時也要注意安全

Facebook 一直是惡意程式作者偏好的熱門目標，然而我們發現有另一項惡意程式種類也使用此熱門社交網路進行傳播。我們偵測到的惡意程式主要元件為
Trojan:Java/Boonana，它是以 Java 編寫而成，因此具有跨平台的感染能力，可感染 Windows、Mac
和 Linux 使用者。

Trojan:Java/Boonana
是透過視訊連結傳送給 Facebook 使用者。藉由按一下連結，使用者將會收到執行
"JPhotoAlbum" 應用程式的提示，這是一個在 JAR 檔案內的 Java 類別 (JPhotoAlbum.jar SHA1：159e6bc0616dec2062c92a7dd918c8179b2de640)。如果是在獨立的瀏覽器或平台上，透過按一下滑鼠允許執行此應用程式，剩餘檔案將會被下載並在電腦上執行。

隨後下載的元件為：

- cplibs.zip：用於加密/解密 Mac 中類別檔案的公用程式

OSXDriverUpdates.tar：偵測為 [Trojan:MacOS\_X/Boonana](https://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3aMacOS_X%2fBoonana "Trojan:MacOS_X/Boonana ") 的 MacOS X 元件 (SHA1：7f0f3ec0460c117e299960a47cac27c7a6d96b32)

• Nircmd.chm：用於從 cmd 列執行檔案的公用程式
• ofex.exe：偵測為 TrojanSpy:Win32/Boonana.A 的鍵盤記錄木馬程式元件
• pax_wintl：Java
  開放原始碼網路類別
• rawpct.jar：IRC
  外掛程式類別，可能也用於傳播至 IRC 使用者
• rvwop.jar：包含 Facebook 傳播類別且偵測為 Worm:Java/Boonana.A 的 Java 類別
• siv.exe：偵測為 TrojanDownloader:Win32/Boonana.A 的下載器元件
• VFXdSys.exe：偵測為 TrojanDownloader:Win32/Boonana.A 的下載器元件
• VfxdsysAdm.exe：偵測為 TrojanDownloader:Win32/Boonana.A 的下載器
• WinStart.exe：用於在隱藏模式中啟動的公用程式

值得注意的是，此威脅種類也包含攻擊目標為 Macintosh 作業系統多種元件之 MacOS X. Boonana 更新的惡意檔案，會提供攻擊者根層級的權限。我們偵測到這些威脅為
Trojan:MacOS_X/Boonana。我們可偵測到 1.93.1067.0 (含) 以上的此類威脅。